Mạng Botnet SSHStalker
Các nhà phân tích an ninh mạng đã phát hiện ra một hoạt động mạng botnet có tên SSHStalker, sử dụng giao thức Internet Relay Chat (IRC) để liên lạc điều khiển và kiểm soát (C2). Bằng cách kết hợp cơ chế mạng botnet IRC truyền thống với các kỹ thuật tấn công quy mô lớn tự động, chiến dịch này phản ánh một cách tiếp cận có tính toán và bài bản để xâm nhập vào cơ sở hạ tầng.
Không giống như các mạng botnet hiện đại ưu tiên kiếm tiền nhanh chóng, SSHStalker nhấn mạnh vào tính bền vững và khả năng mở rộng có kiểm soát, cho thấy mục tiêu tiềm năng mang tính chiến lược hơn là lợi ích tài chính tức thời.
Mục lục
Chiến lược khai thác: Nhắm mục tiêu vào những lỗ hổng bị lãng quên và chưa được vá lỗi
Cốt lõi của SSHStalker nằm ở việc tập trung có chủ đích vào các hệ thống Linux cũ. Bộ công cụ này tích hợp một tập hợp 16 lỗ hổng bảo mật nhân Linux, nhiều lỗ hổng có từ năm 2009 và 2010. Mặc dù phần lớn không hiệu quả đối với các hệ thống hiện đại, đã được vá lỗi đầy đủ, nhưng các lỗ hổng này vẫn có thể khai thác được đối với cơ sở hạ tầng lỗi thời hoặc bị bỏ quên.
Các lỗ hổng đáng chú ý được khai thác trong chiến dịch này bao gồm CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 và CVE-2010-3437. Việc dựa vào các lỗ hổng cũ này thể hiện một chiến lược thực dụng: khai thác các môi trường hệ thống cũ, thường khó bị phát hiện bởi các hệ thống an ninh hiện đại.
Sự bành trướng kiểu sâu máy tính thông qua tự động hóa SSH
SSHStalker tích hợp khả năng quét tự động để mở rộng phạm vi hoạt động. Trình quét dựa trên Golang chủ động dò tìm cổng 22 để xác định các hệ thống cung cấp dịch vụ SSH. Sau khi phát hiện, các máy chủ dễ bị tấn công sẽ bị xâm nhập và được thêm vào các kênh IRC, từ đó mở rộng mạng botnet theo kiểu sâu máy tính.
Trong quá trình lây nhiễm, một số phần mềm độc hại được triển khai, bao gồm các biến thể của bot điều khiển qua IRC và bot tệp dựa trên Perl. Các thành phần này kết nối với máy chủ UnrealIRCd, tham gia các kênh điều khiển được chỉ định và chờ hướng dẫn. Cơ sở hạ tầng hỗ trợ các cuộc tấn công kiểu tràn ngập dữ liệu có phối hợp và quản lý bot tập trung.
Mặc dù sở hữu những khả năng này, chiến dịch lại đáng chú ý là không tham gia vào các hoạt động kiếm tiền sau khi khai thác lỗ hổng thường thấy như tấn công từ chối dịch vụ phân tán (DDoS), chiếm quyền điều khiển proxy hoặc khai thác tiền điện tử. Thay vào đó, các hệ thống bị xâm nhập phần lớn vẫn ở trạng thái ngủ đông, duy trì quyền truy cập liên tục. Tư thế hoạt động thận trọng này cho thấy các trường hợp sử dụng tiềm năng như thiết lập môi trường thử nghiệm, duy trì quyền truy cập hoặc các hoạt động phối hợp trong tương lai.
Tính bí mật, sự bền bỉ và khả năng chống phân tích pháp y
Khả năng hoạt động lén lút là đặc điểm nổi bật của SSHStalker. Phần mềm độc hại này triển khai các tiện ích dọn dẹp nhật ký, thao tác với các bản ghi utmp, wtmp và lastlog để che giấu việc truy cập SSH trái phép. Các chương trình C tùy chỉnh được thực thi để xóa dấu vết hoạt động độc hại khỏi nhật ký hệ thống, làm giảm khả năng phát hiện dấu vết.
Để đảm bảo khả năng phục hồi, bộ công cụ này bao gồm một cơ chế duy trì hoạt động được thiết kế để khởi chạy lại tiến trình phần mềm độc hại chính trong vòng 60 giây nếu bị chấm dứt. Chiến lược duy trì này củng cố độ bền vững của chỗ đứng trong các môi trường bị xâm nhập.
Cơ sở hạ tầng dàn dựng và kho vũ khí tấn công
Phân tích cơ sở hạ tầng dàn dựng liên quan đã tiết lộ một kho công cụ tấn công rộng lớn và các phần mềm độc hại đã được ghi nhận trước đó. Bộ công cụ này bao gồm:
- Rootkit được thiết kế để tăng cường khả năng ẩn nấp và duy trì hoạt động.
- Thợ đào tiền điện tử
- Một đoạn mã Python thực thi một tập tin nhị phân có tên 'website grabber' để thu thập thông tin đăng nhập Amazon Web Services (AWS) bị lộ từ các trang web dễ bị tấn công.
- EnergyMech, một bot IRC cho phép điều khiển và thực thi lệnh từ xa.
Bộ sưu tập này nêu bật một khuôn khổ hoạt động linh hoạt có khả năng thích ứng với nhiều mục tiêu tấn công khác nhau.
Dấu hiệu quy kết và sự chồng chéo trong hoạt động
Các dấu hiệu trong các kênh IRC và danh sách từ cấu hình cho thấy khả năng có nguồn gốc Romania, bao gồm sự hiện diện của các biệt danh và tiếng lóng kiểu Romania. Ngoài ra, các đặc điểm hoạt động trùng lặp đáng kể với nhóm tin tặc Outlaw (còn được gọi là Dota), cho thấy khả năng có liên kết hoặc chia sẻ kỹ thuật nghiệp vụ.
Sự phối hợp nhịp nhàng hơn là khai thác yếu tố mới lạ.
SSHStalker không dựa vào các lỗ hổng bảo mật zero-day hay việc phát triển rootkit đột phá. Thay vào đó, chiến dịch này thể hiện sự kiểm soát hoạt động bài bản và khả năng điều phối hiệu quả. Bot cốt lõi và các thành phần cấp thấp chủ yếu được viết bằng ngôn ngữ C, với các tập lệnh shell quản lý việc duy trì hoạt động và tự động hóa. Python và Perl được sử dụng một cách chọn lọc cho các chức năng tiện ích và các tác vụ hỗ trợ trong chuỗi lây nhiễm.
Chiến dịch này là một ví dụ điển hình cho quy trình tấn công quy mô lớn có cấu trúc và khả năng mở rộng, nhấn mạnh vào việc tái sử dụng cơ sở hạ tầng, tự động hóa và duy trì lâu dài trên nhiều môi trường Linux khác nhau. Sức mạnh của nó không nằm ở sự đổi mới, mà ở khả năng thực thi, phối hợp và khai thác chiến lược các hệ thống bị bỏ qua.
